INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 1 de 16

RECOMENDACIONES Y MEJORES PRÁCTICAS PARA EL

MANEJO DE LAS LICENCIAS, QUE CONTRIBUYAN CON LA
MINIMIZACIÓN DE RIESGOS Y VULNERABILIDADES Y LA MEJOR
ADMINISTRACIÓN DE LA SOLUCIÓN

BOGOTÁ - COLOMBIA

2020
 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 2 de 16

1. INTRODUCCIÓN

El siguiente documento hace referencia al análisis de evidencias encontradas en los

equipos Fortinet con los que cuenta el Instituto Nacional para Ciegos INCI que para el
documento denominamos Entidad, y en los cuales realizaremos recomendaciones para
aplicar buenas prácticas de seguridad y de configuración.

2. PLATAFORMA DE SEGURIDAD

La Entidad cuenta con los equipos que relaciono a continuación y que forman una parte
de la arquitectura de seguridad integral.

DISPOSITIVO DIRECCIÓN IP GESTIÓN

3. FIREWALL PRINCIPAL

Las siguientes recomendaciones y sugerencias de Mejores prácticas de FortiGate es una

colección de pautas para garantizar el funcionamiento más seguro y confiable del
FortiGate en un entorno de red. Como tal se debe tratar como sugerencias y no es
mandatorio aplicar una o todas estas.
 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 3 de 16

MEJORAS DE RENDIMIENTO

 Deshabilitar las funciones de administración en las interfaces que no necesite. Se

considera posibles brechas de seguridad dejar estas configuraciones habilitadas
sin ser necesario.

 Políticas en Desuso. Todas las políticas deben ser revisadas cada 3 meses para
verificar su configuración y uso en la red, si existen políticas que no se usan se
deben borrar procurando cerrar esas brechas de seguridad. Se puede apoyar con
reportes en el FortiAnalyzer.

 Orden de Políticas: Coloque las reglas de firewall más utilizadas al principio de la

lista de interfaces. Se puede apoyar con reportes en el FortiAnalyzer

 Acceso remoto seguro. Se debe usar VPN para acceder a los recursos internos y
adicional a ello darle doble factor de autenticación con las alternativas de usar
certificados o Tokens. Procurar desactivar la administración de los equipos con la
IP publica desde Internet y hacer uso de la VPN.

 Habilite el análisis antivirus e IPS en el centro de la red para todos los servicios.

 Revisar las políticas que están haciendo NAT ya que si se quiere tener trazabilidad
del tráfico se debe usar NAT únicamente donde sea necesario.

 Unificar perfiles de UTM procurando una administración más sencilla de estos. Y

revisar porque no se están aplicando perfiles de UTM en algunas políticas.

 Deshabilite aquellos features que no se usan en la actual implementación.

 Activar autenticación por FSSO en donde se pueda aplicar.

 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 4 de 16

 Políticas de contraseñas. Debe habilitarse la política de contraseñas que permita

al sistema exigir que la contraseña sea robusta para el acceso.

 Minimizar el uso de políticas inseguras. Las políticas con todos los servicios en
ALL se deben restringir ya que pueden ser usadas con puertos inseguros.
 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 5 de 16

DEPURACIÓN DE POLÍTICAS DE FIREWALL

Depuración de políticas

#  Razones por que depurar las políticas 

1  Dirección de origen ALL y que no tienen autenticación habilitada. 
2  Dirección de destino ALL, esto aplica principalmente para aquellas políticas que
permiten el tráfico interno hacia redes conocidas, para el tráfico hacia internet es
posible una dirección ALL, pero restringiendo los puertos o servicios que utilizan para
acceder a internet y combinándolos con perfiles de seguridad. 
3  Servicios ALL. 
4  No se tiene aplicados perfiles de protección y la interfaz de destino es una red critica
(Aplicaciones y redes de servidores). 
5  Políticas que tienen habilitado el logueo de eventos de seguridad, cuando no tienen
un perfil de seguridad configurado (No se generan logs en estas situaciones); los
eventos de seguridad son detectados con el uso de perfiles de seguridad. 
6  Políticas que realizan la misma función que la política implícita (política 0), denegar
todo. 
7  Políticas de publicaciones que tienen como dirección de destino ALL y que su acción
es DENY. Estas políticas no bloquean el tráfico con destino a estas publicaciones.
Para más información consulte el siguiente
enlace: http://kb.fortinet.com/kb/documentLink.do?externalID=FD36750  
8  Políticas inhabilitadas. 
9  Políticas que no tienen tráfico registrado. Esto indica que posiblemente alguna
política superior este permitiendo este tráfico y por lo tanto exista una duplicidad de
estas o que esta política sea innecesaria porque dentro de la red no haya quien la
utilice, sin embargo, este parámetro puede variar ya que los dispositivos fueron
apagados 4 días antes de esta actividad de afinamiento, lo cual hace que se
reinicien estos contadores, por lo que algunas otras políticas pueden ser usadas más
adelante. 
 INFORME BASE-PLAN DE TRABAJO
Area de Tecnología
RIESGOS
Riesgo
Usuario final percibe
cambios en permisos de
navegación.
Se pierde conectividad con
algún servicio hacia fuera
o dentro de la red
Usuario final se encuentra
en la red autenticado, pero
no toma los permisos de
su perfil
Se perdió conectividad
especial que existía
anteriormente
Un equipo se encontraba
navegando normalmente y
perdió conectividad
Versión 1.0 22/05/2019 Pág.: 6 de 16
Causa Raíz Nivel de Mitigación
Riesgo
Validar si el usuario tiene los
No se estaba realizando
Medio permisos según su rol VIP JAL o
el filtro adecuadamente.
GENERAL y realizar el ajuste.
Los servicios estaban Validar si la conexión es legítima
ALL y se cerró algún Medio y activar el puerto nuevamente
puerto para que exista comunicación.
Realizar Troubleshooting en el
No se ve autenticado por firewall verificando que si se está
parte del firewall y el mapeando el usuario desde el
Medio
usuario cae en una servidor de dominio y realizar los
política general ajustes para que cumpla con los
requerimientos.
Realizar comparación del BackUp
Se borró una política
antes y después verificando que
obsoleta y se perdió la Medio
esa conexión existiera y volver a
comunicación
crear la política.
Revisar en la cuarentena del
Firewall si existe algún agente
El equipo está
comprometedor informar al
comprometido en la red
Medio administrador de red o agentes de
ya sea por su navegación
mesa de servicio para prestar las
o algún agente malware.
acciones a realizar con respecto a
este.
 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 7 de 16

Prerrequisitos.

Para la realización de estos cambios es necesario cumplir con los siguientes

prerrequisitos.

 Antes de iniciar los cambios de actualización de políticas, se debe haber realizado

las pruebas de funcionamiento de los servicios y haber proporcionado la evidencia
del funcionamiento de estos servicios.
 Proporcionar credenciales de administración de los equipos que se van a
actualizar, el usuario debe tener perfil de super_admin asignado.
 Se debe haber realizado Backup de la plataforma a intervenir.
 Informar al administrador de red de localidad y/o administrador de red de
ENTIDAD sobre los cambios a llevar a cabo.

CheckList de servicios.

Estado antes de la Estado posterior a la

Servicio
Ventana ventana

Navegación hacia internet.

VPNS IPSec

VPN SSL

WebFilter

Application Control

Tareas de depuración.

# Descripción Fecha Duración (Min) Responsable

Tareas a realizar previas.

Tomar Backup de configuración de

1
los dispositivos

CheckList de servicios, revisión de

2
estado.
 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 8 de 16

Total 2 días.

Actividades por realizar durante la depuración.

Depuración de políticas de Firewall

3 y aplicación de recomendaciones
en las mejoras de administración.

4 Monitoreo de cambios y ajustes

5 Ajustes de perfiles de seguridad

Monitoreo de cambios y ajustes

6
finales

Total, tiempo estimado 14 días

Plan de roll back.

En caso de que se llegue a materializar alguno de los riesgos y este no pueda ser
solucionado, se debe aplicar el siguiente plan de rollback; se debe contar con previa
autorización de la Entidad.

# Descripción Duración Responsable

(Min)

Restaurar BackUp tomado al inicio de

1
la ventana.

Total

MEJORES PRACTICAS
 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 9 de 16

 Mantener un esquema de red al día.

 Activar la cuarentena de equipos cuando se detecte un mal comportamiento de
red.
 Realizar cambios en ambiente controlado políticas personalizadas o contemplando
un laboratorio de pruebas.
 Aplicar actualizaciones de firmware realizando el respectivo análisis de su archivo
de documentación.
 Reducir las políticas ilógicas. Las políticas solo deben permitir el tráfico desde un
origen a determinado destino permitiendo así reducir las brechas de inseguridad y
hacer una revisión continua para que las políticas estén cumpliendo un
funcionamiento en la red.
 Control de acceso y autenticación. Las cuentas de administración deben tener los
mínimos privilegios requeridos y ser asignados solo a personal autorizado.
 Los registros de seguridad y tráfico deben configurarse para monitorear, registrar y
alertar tráfico sospechoso. Los hosts comprometidos deberían ser identificados,
puestos en cuarentena y eliminados de cualquier malware.
 Utilizar el NTP para sincronizar la hora en FortiGate y los sistemas de red
centrales, como servidores de correo electrónico, servidores web y servicios de
registro.
 Si solo necesita permitir el acceso a un sistema en un puerto específico, limitar el
acceso creando la regla más estricta posible.
 Evitar utilizar la selección ALL para las direcciones de origen y destino. Utilice
direcciones o grupos de direcciones.
 Si es posible, evitar los rangos de puertos en los servicios por razones de
seguridad.
 Preferiblemente usar Zonas en lugar de puertos específicos esto provee
versatilidad en la configuración de políticas y referencias asociadas a estas.
 Periódicamente realizar Backups de la configuración.
 Mantenga el ambiente de operación adecuado de acuerdo con las
especificaciones del fabricante y según la criticidad del equipo lo requiera en
sentido de disponibilidad eléctrica y de funcionamiento en la red.
 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 10 de 16

4. FORTIANALYZER

Las siguientes recomendaciones y sugerencias de Mejores prácticas de FortiAnalyzer es

una colección de pautas para garantizar el funcionamiento más seguro y confiable de este
en un entorno de red. Como tal se debe tratar como sugerencias y no es mandatorio
aplicar una o todas estas.

MEJORES PRACTICAS

 Hay que asegurar que no haya interrupción de energía. Una pérdida de energía
podría causar la pérdida de la integridad de la base de datos de un dispositivo
FortiAnalyzer.
 Siempre apague o reinicie FortiAnalyzer correctamente. Desconectar la energía
sin un apagado ordenado podría dañar las bases de datos de FortiAnalyzer.
 Si ocurre una pérdida de energía inesperada, se debe revertir a una última buena
copia de seguridad de la configuración.
 Realice Backups regularmente y verifique la integridad del checksum de cada
archivo.
 Si corre reportes regularmente se recomienda agruparlos en un solo grupo y que
estos sean programados en horas de bajo trafico
 Si los reportes son extensos habilitar auto-cache esto reduce las tablas de hcache
mejora el rendimiento y el tiempo en finalizar.
 Aplique prácticas de seguridad en el FortiAnalyzer usar política de Password en
los usuarios y un bloqueo de usuario en varios intentos fallidos.
 Deshabilite interfaces que no sean usadas y protocolos de acceso no seguros.
 Mantener la versión del firmware actualizada.
 Usar un servidor NTP en común con las plataformas que envían Logs para su
correcto tratamiento.

Puede consultar la siguiente guía para aplicar las mejores practicas

https://docs.fortinet.com/document/fortianalyzer/6.2.0/best-practices/941804/report-
performance
 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 11 de 16

5. FORTIWEB

MÓDULOS DE SEGURIDAD

Activar los módulos de Machine Learning en las políticas de aplicaciones. Este nuevo
módulo de aprendizaje se basa en Inteligencia Artificial, concretamente en Machine
Learning, módulo que aprende de forma ininterrumpida. Esto significa que si se añaden
nuevas aplicaciones o si cambian las aplicaciones previamente aprendidas (nuevos
formularios, parámetros, URLs...) nuestro módulo de autoaprendizaje evolucionará según
los cambios.

Método de funcionamiento

Fase Anomaly Detection

FortiWeb detectará para cada petición si se trata de una anomalía respecto a lo aprendido
o no.

Fase Threat Detection

Si no es una anomalía dejará pasar esa petición, en cambio, si se detecta como una
anomalía, en lugar de bloquearla directamente, será analizada por las diversas bases de
datos de Inteligencia Artificial entrenadas por FortiGuard Labs. Solo si se determina que
es un ataque se bloqueará la petición.

Este modo de detección no está basado en firmas, por lo que se reduce prácticamente
por completo la posibilidad de bloquear peticiones legítimas (falsos positivos)

Riesgos

Riesgo Causa Raíz Nivel de Mitigación

Riesgo
Corregir
Originada por información
información y
Configuración inadecuada imprecisa entregada por el Baja
realizar los
cliente
ajustes
Fallas mayores de servicios Corregir
productivos debido a Configuraciones erradas información y
Baja
configuraciones incorrectas por error Humano. realizar los
de políticas de firewall. ajustes
 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 12 de 16

Actividades

# Descripción Fecha Duración Responsable

(Min)

Tareas a realizar previas a la Ventana

Backup de configuración de
1
la plataforma.

Total

Actividades por realizar durante la ventana

Generar y aplicar perfil base

2 de protección para aplicar a
las políticas

Activar perfil de machine

3
Learning en las políticas.

Monitoreo de
4 comportamiento de la
plataforma

Total

Plan de roll back.

En caso de que se llegue a materializar alguno de los riesgos y este no pueda ser
solucionado, se debe aplicar el siguiente plan de rollback; se debe contar con previa
autorización de ENTIDAD.

# Descripción Duración Responsable

(Min)

Desactivar el perfil de seguridad de la

1
política de publicaciones ENTIDAD

Total

MEJORES PRACTICAS
 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 13 de 16

 Tener la seguridad de que el tráfico hacia los servidores no esté saltando el

FortiWeb
 Deshabilitar todas las interfaces que no estén siendo usadas y usar solo los
protocolos de administración necesarios
 Cambio de Password de administración regularmente y usar políticas de
contraseñas.
 Mantener actualizado el sistema operativo de acuerdo con el ultimo reléase.
 Borrar o deshabilitar políticas que no estén siendo usadas.
 En configuraciones donde lo permita usar expresiones simples en lugar de
expresiones regulares las cuales usan métodos más complejos de cómputo.
 Si se tiene un FortiAnalyzer enviar los LOGS a este en lugar de usar el logging en
disco local.
 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 14 de 16

6. FORTISANDBOX

La integración de la zona de pruebas agrega otro nivel a la inspección de la zona de

pruebas, lo que le permite configurar acciones automáticas para proteger su red de los
archivos que FortiSandbox determina que son maliciosos. Estas acciones incluyen:

 Recibir actualizaciones de firmas de Antivirus de FortiSandbox

 Agregar la URL de origen de cualquier archivo malicioso a una lista de URL
bloqueadas
 Extender el escaneo de sandbox a los dispositivos FortiClient.

Riesgos

Riesgo Causa Raíz Nivel de Mitigación

Riesgo
Corregir
Originada por información
información y
Configuración inadecuada imprecisa entregada por el Baja
realizar los
cliente
ajustes
Latencia en descargas u u
Ajustar perfil de
otro tipo de tráfico que este Configuración de escaneo
Media escaneo en
siendo inspeccionado por estricto.
FortiSandbox
FortiSandbox

ACTIVIDADES

# Descripción Fecha Duración Responsable

(Min)

Actividades

1 Backup de Plataforma

2 CheckList de servicios.

3 Integrar Equipos al FSB

 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 15 de 16

Configurar perfiles
asociados a Web Filtering y
4
Antivirus para que se
integren a FortiSandbox

Pruebas y Monitoreo de
4
comportamiento de FSB

5 Ajustes de configuración

Total

CheckList de servicios.

Estado antes de la Estado posterior

Servicio
Ventana a la ventana

Administración de FortiSandbox

Validación de trabajos de Sandboxing

MEJORES PRACTICAS

 Realizar tareas generales de mantenimiento como copia de seguridad y

restauración para que pueda volver a una configuración anterior si es necesario.
 Realice copias de seguridad periódicas para asegurarse de tener una copia
reciente de su configuración de FortiSandbox.
 Programe tareas de mantenimiento para las horas de menor actividad
 Actualización de firmware
 Cambio de topología del sistema
 Intercambio de disco duro fallido
 Mantener la integridad de la base de datos
 Para mantener la integridad de la base de datos, nunca apague una unidad
FortiSandbox sin un apagado ordenado.
 Recomendamos encarecidamente conectar las unidades FortiSandbox a una
fuente de alimentación ininterrumpida (UPS) para evitar problemas de energía
inesperados que podrían dañar las bases de datos internas.
 INFORME BASE-PLAN DE TRABAJO

Area de Tecnología Versión 1.0 22/05/2019 Pág.: 16 de 16

 Deshabilitar todas las interfaces que no estén siendo usadas y usar solo los
protocolos de administración necesarios
 Cambio de Password de administración regularmente y usar políticas de
contraseñas.
 Mantener actualizado el sistema operativo de acuerdo con el ultimo reléase.

Para más información visite el siguiente enlace

https://docs2.fortinet.com/document/fortisandbox/2.5.0/best-practices/621838/overview

FIN DEL DOCUMENTO

ELVIS DAVID GUARIN LEON

INGENIERO ESPECIALISTA FORTINET
NSE7